[security-announce] IA: new squid packages available

ALT Security Team =?iso-8859-1?q?security_=CE=C1_altlinux=2Ecom?=
Чт Фев 17 19:02:13 MSK 2005 

Пакет       : squid
Уязвимости  : удалённые
Тип ошибки  : разные
ALT-specific: нет
CVE ID      : CAN-2005-0173 CAN-2005-0174 CAN-2005-0175
              CAN-2005-0211 CAN-2005-0241 CAN-2005-0446

Исправление уязвимостей:
 + неточность определения LDAP аккаунта
 + порча кэша повреждёнными/фрагментированными HTTP-пакетами
 + переполнение буфера при обработке сообщений WCCP
 + некорректное поведение httpProcessReplyHeader()
 + отказ в обслуживании при некорректных ответах DNS

Краткое описание проблемы: Squid -- богатый по возможностям
прокси-сервер.  Последние обновления от 1, 10 и 16 февраля
исправляют множество уязвимостей, начиная от отказа в
обслуживании из-за повреждения кэша и заканчивая удалённым
исполнением команд.

CAN-2005-0173
Ошибка в модуле аутентификации squid_ldap_auth позволяет
аутентифицированным пользователям, используя особенность обработки
фильтров LDAP'ом, обходить ограничения, накладываемые списками контроля
доступа, основанными на проверке имён пользователей.

CAN-2005-0174, CAN-2005-0175
Небольшая проблема в парсере HTTP-заголовков позволяет испортить кэш.

CAN-2005-0211
Переполнение буфера в обработчике кода WCCP в версии Squid
2.5 до 2.5.STABLE7 позволяет потенциальному злоумышленнику организовать
отказ в обслуживании и, возможно, выполнить произвольный код при
использовании WCCP-пакетов слишком большого размера.

CAN-2005-0241
Функция httpProcessReplyHeader() в Squid 2.5-STABLE7 и более ранних
версиях при обработке чрезмерно больших HTTP-ответов некорректно
устанавливает отладочный режим.

CAN-2005-0446
Squid может аварийно завершиться с ошибкой "xstrndup: Assertion
'n' failed" или другой. Ситуация возникает при получении
определённых искажённых ответов DNS.  Уязвимость нейтрализуется
установкой опции "log_fqdn off" (значение по умолчанию).

Исправление этих уязвимостей для ALT Linux 2.4 Master доступно в пакете
squid-2.5.STABLE8-alt0.M24.1.

Исправление этих уязвимостей для ALT Linux Sisyphus доступно в пакете
squid-2.5.STABLE8-alt1.


-- 
ALT Security Team
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/security-announce/attachments/20050217/fd32f9f5/attachment-0003.bin>

Подробная информация о списке рассылки Security-announce